Mirax: Android-Trojaner verwandelt Smartphones in Proxy-Server für Betrüger
Die neue Mirax-Malware für Android stiehlt nicht nur Daten und bietet Fernzugriff, sondern nutzt infizierte Geräte auch als Proxy-Knoten. Dies ermöglicht Angreifern, den Verkehr zu verschleiern und ihre Angriffsinfrastruktur zu erweitern, was die Effektivität von Betrugsplänen steigert.
Verbreitung und Bedrohungsverschleierung
Mirax verbreitet sich über Phishing-APK-Dateien, die als IPTV-, Video-Streaming-, IoT-Geräte- und Unterhaltungssoftware-Anwendungen getarnt sind. Werbeanzeigen erscheinen auf Meta-Plattformen und richten sich an Nutzer in spanischsprachigen Regionen. Kampagnen umfassen Hunderttausende von Konten, wobei Mobilgeräte verifiziert werden, bevor Links zu GitHub-Releases ausgegeben werden.
Der Zugang zur Plattform ist auf verifizierte Partner aus russischsprachigen Communities beschränkt, wodurch Expositionsrisiken minimiert werden. Dieses Modell verringert die Wahrscheinlichkeit von Lecks und verlängert die Lebensdauer der Bedrohung.
Funktionalität der Malware
Nach der Installation bietet Mirax Operatoren volle Kontrolle:
- Bildschirmansicht und -verwaltung;
- App-Start;
- SMS-Sammlung, Zwischenablagendaten;
- Informationen zum Sperrbildschirm, einschließlich PIN, Grafikschlüssel und Biometrie.
Zum Stehlen von Zugangsdaten werden HTML-Overlays über Banking- und Crypto-Anwendungen geladen. Dies ist eine Standardtechnik für Banking-Trojans, aber Mirax sticht mit zusätzlichen Funktionen hervor.
Einzigartige Proxy-Funktion
Die Schlüsselinnovation ist die Integration von SOCKS5 und Yamux, um das Gerät in einen residenten Proxy zu verwandeln. Angreifer leiten den Verkehr über die IP des Opfers weiter und umgehen Geo-Blocks und Anti-Betrugssysteme.
Dieses Schema erweitert die Nutzung infizierter Smartphones über direkten Betrug hinaus. Geräte integrieren sich in Botnetze für DDoS, Scanning oder andere Operationen, was die Rentabilität jeder Infektion steigert.
Das Wichtigste
- Mirax entwickelt Android-Bedrohungen weiter und kombiniert Überwachung, Datendiebstahl und Proxy-Funktionen in einem Paket;
- Kampagnenreichweite übersteigt 200.000 Konten in Lateinamerika;
- Begrenzter Plattformzugang erhöht die operationale Geheimhaltung;
- Proxy-Knoten reduzieren die Erkennung und erweitern Angriffsszenarien;
- Das Wachstum solcher Bedrohungen signalisiert eine Verschiebung hin zu Infrastrukturangriffen.
Kontext und Konsequenzen
Bisher wurden Proxy-Botnetze mit IoT und günstigen Gadgets assoziiert. Jetzt bringen vollwertige Trojaner wie Mirax dieses Modell auf Premium-Smartphones und erhöhen Skalierbarkeit und Rentabilität. Gründe für den Erfolg liegen in der Kombination aus Social Engineering über Werbung und technischer Reife.
Konsequenzen für Nutzer umfassen Kontrollverlust über Geräte und Finanzen sowie Risiken für Bankensysteme. Die Branche steht vor der Notwendigkeit, den mobilen Schutz zu stärken, einschließlich Verhaltensanalyse und Overlay-Blockierung. Meta-Regulierer reagieren bereits auf Phishing-Werbung, aber eine vollständige Ausrottung erfordert plattformübergreifende Zusammenarbeit.
Global spiegelt dies einen Trend zur Monetarisierung von Infektionen durch Infrastruktur wider. Laut Analysten könnten ähnliche Trojaner die Gewinne von Cyberkriminellen aufgrund der Multifunktionalität verdoppeln.
— Editorial Team
Noch keine Kommentare.